WO2023149816A1 - Method for generating a static identifier for mobile devices - Google Patents

Method for generating a static identifier for mobile devices Download PDF

Info

Publication number
WO2023149816A1
WO2023149816A1 PCT/RU2022/000367 RU2022000367W WO2023149816A1 WO 2023149816 A1 WO2023149816 A1 WO 2023149816A1 RU 2022000367 W RU2022000367 W RU 2022000367W WO 2023149816 A1 WO2023149816 A1 WO 2023149816A1
Authority
WO
WIPO (PCT)
Prior art keywords
parameters
mobile device
processor
identifier
payment application
Prior art date
Application number
PCT/RU2022/000367
Other languages
French (fr)
Russian (ru)
Inventor
Дмитрий Николаевич ГУБАНОВ
Артём Александрович ШИРОКОВ
Иван Александрович ОБОЛЕНСКИЙ
Максим Геннадьевич ДЕНИСЕНКО
Владимир Владимирович ЯКУШЕВ
Original Assignee
Публичное Акционерное Общество "Сбербанк России"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from RU2022102770A external-priority patent/RU2779521C1/en
Application filed by Публичное Акционерное Общество "Сбербанк России" filed Critical Публичное Акционерное Общество "Сбербанк России"
Publication of WO2023149816A1 publication Critical patent/WO2023149816A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures

Definitions

  • the claimed solution relates to the field of computer technology, in particular to methods for generating device identifiers for their use in the field of information security.
  • the banking mobile application provides the ability to receive a mobile device ID and transfer it to the bank's information systems. This feature is provided by default to all applications installed on the mobile device. Based on this identifier, the bank performs additional verification of the client when making transactions, and if there are discrepancies in the client's identifiers, it can suspend or reject the transaction as suspicious.
  • the Android operating system (hereinafter referred to as OS) from version 10 and higher, in order to increase the privacy of mobile device users, has limited access to non-resettable (static) device identifiers, including for applications installed and running on the device. When you reset the device to factory settings, the identifier available to applications installed on the device changes. Thus, unambiguous identification of the client's mobile device on the bank's side is not possible.
  • Attackers using various methods of influencing bank customers, including social engineering, can gain access to critical data customers, then this data can be used to install banking applications on the attacker's device with further registration with the bank.
  • An attacker after registering such an application on his device on behalf of the client, gains access to the client's funds and then attempts to steal these funds.
  • a significant problem with existing approaches is the key use of digital information and basic hardware numbers of mobile devices, such as IMEI, serial number, and the like. This data is quite vulnerable and does not allow generating a static identifier based on it, which will not change significantly during a factory reset of devices, also, starting from version 1 of the Android OS, this kind of data is not available to mobile applications.
  • the claimed invention solves the technical problem in terms of creating a new robust and stable mobile device identifier for its subsequent use to track fraudulent activity.
  • the technical result is to increase the accuracy of identifying mobile devices by generating a static identifier.
  • the claimed solution is implemented using a method for generating a static identifier for mobile devices running the Android OS, comprising the steps of: installing a payment application in the OS of the mobile device using the processor of the mobile device; launching the payment application and registering the user in it, while collecting mobile device parameters, including: processor parameters, camera module parameters, memory module parameters, radio module parameters, and at least mobile device brand data; carry out hashing of the obtained set of parameters using the piecewise hashing algorithm initiated by the context and the block hashing algorithm recovery, while the hashing of the parameters by each of the algorithms is performed in parallel; generating a static identifier of the mobile device based on the performed hashing; linking the received identifier with the payment application of a particular user; transfer the received identifier to the server of the automated fraud monitoring system (AFMS).
  • AFMS automated fraud monitoring system
  • the processor parameters include at least one of: number of processor cores, processor frequency, processor model, core name, core architecture, supported architecture.
  • the parameters of the camera module include at least one of: camera sensor size, camera focal length, horizontal camera offset angle, vertical camera offset angle, maximum frame duration.
  • the parameters of the memory module include at least one of: the total amount of physical RAM, the total amount of available swap, the total amount of memory from the total allocated virtual address space.
  • the radio module parameters include at least one of: DRM scheme identifier, radio module firmware version, baseboard data.
  • the parameters further include at least one of: processor range check parameter, changelog number, manufacturer data, mobile device name, industrial design name, screen resolution, assembly ID string.
  • the claimed solution is also carried out using a method for detecting fraudulent transactions carried out using mobile devices, the method comprising the steps of: using ASFM: fixing the registration of a payment application on a mobile device; generating a static identifier of the mobile device in the above manner; associating the received identifier with the registration data of the user of the payment application; fixing the execution of the transaction through the payment application; receive data on the completion of a fraudulent transaction through said payment application; blacklisting at least the obtained static identifier of the mobile device; block the operation of the payment application on a mobile device containing a blacklisted identifier.
  • account details are blacklisted for subsequent blocking of transactions.
  • the claimed solution is also implemented using a device for generating a static identifier for mobile devices running the Android OS, which contains at least one processor and at least one memory storing machine-readable instructions that, when executed by the processor, perform the above method for generating a static identifier.
  • the claimed solution is also implemented using a system for detecting fraudulent transactions, which contains at least one processor and at least one memory storing machine-readable instructions that, when executed by the processor, perform the above-described method of tracking fraudulent transactions.
  • FIG. 1 illustrates a flowchart of a method for generating a static identifier.
  • FIG. 2 illustrates a flow diagram of a method for tracking fraudulent transactions using a static identifier.
  • FIG. 3 illustrates a diagram of a computing device.
  • FIG. 1 is a flowchart of the steps of the method (100) for generating a static identifier.
  • the claimed solution is executed when installing the payment application at step (101) in the OS of the mobile device.
  • the term "mobile device" in the framework of the claimed solution can be understood as a smartphone, phablet or tablet running the Android OS.
  • the application program logic After installing a payment application, for example, Sberbank Online, the application program logic requests data for subsequent user registration. Such data may be, full name, passport data, payment card number, phone number, login / password for entering the application, etc. Additionally, biometric information can be used. After successful registration, a unique record is created for each user under the corresponding identifier, which is stored on the server in a single database.
  • mobile device data is collected.
  • the collection is carried out through the program logic of the payment application that has access to the OS of the mobile device.
  • the following parameters are collected: processor parameters, camera module parameters, memory module parameters, radio module parameters, and at least mobile device brand data.
  • Mobile device data is collected on the main hardware modules (processor, memory, camera, radio module), as well as system data that identifies the device itself.
  • Processor parameters may be selected from the following data presented in Table 1.
  • the memory module parameters may include the parameters listed in Table 3.
  • system parameters shown in Table 5 are used to generate the identifier. Table 5.
  • the identifier obtained on the above parameters can be static and / or probabilistic, this is achieved through the use of various data conversion algorithms.
  • the present solution uses a combination of cryptographic hashing algorithms and fuzzy hashing methods (similarity-preserving hash functions). This is done to minimize possible further restrictions on the collection of system parameters by the Android OS, as well as any other changes that may arise with the system parameters of the mobile device during operation (for example, hardware replacement of the camera or processor in the device).
  • step (103) two modified similarity-preserving hash functions are applied: ssdeep [1] and SimHash [2].
  • these algorithms were developed for the tasks of computer forensics, namely: the acceleration and automation of the analytics of the content of a particular electronic document, as well as the formalization and presentation of the obtained evidence in court.
  • Ssdeep refers to context-initiated piecewise hashing algorithms, i.e. during hashing, a hash is generated for several discrete data segments, the size and number of which are determined algorithmically based on the context of the data being hashed.
  • SimHash is a block recovery algorithm and allows you to determine the difference in distances between identifiers by calculating the Hamming distance, or the Damerau-Levenshtein distance, or the XOR vector. By additional comparison of the obtained numerical characteristics of the distances, you can choose both the minimum value, which will mean that the received identifiers can refer to one device, and the maximum values, which will indicate that these are identifiers of different devices.
  • a static mobile device identifier is generated as a result of applying the hash functions.
  • the identifier may look like this: OcWj6tqLi34kZsbPZCi+gGTyrTaHmoAnlj01wlCYOSxOWn:ClfpwOcWj68LioBPZCiqyrG GJ nlfVxv.
  • the generated static identifier is associated with the user registration data entered in the payment application, and at step (105) are transferred to the database on the server.
  • the frequency of generating and transferring mobile device identifiers to the server may vary depending on the goals and objectives of the organization (one-time, event-based, or scheduled).
  • the received identifiers are accumulated in the automated systems of the organization and allow identification of client mobile devices when working with the application.
  • the bank can suspend or reject the transaction as suspicious, thereby preventing possible fraud (theft of funds or property) in relation to the bank's client.
  • the information generated at step (105) recorded on the bank server is transmitted at step (106) to the server of the automated fraud monitoring system (AFMS).
  • AFMS automated fraud monitoring system
  • the bank's automated fraud monitoring system analyzes and detects anomalies in the transaction flow of customers, placing the identifiers of the attackers' mobile devices on the "black” lists, thereby preventing further installation and registration of payment applications on the devices of the attackers.
  • FIG. 2 shows an example of the operation of the method (200) for tracking fraudulent transactions using the above-described method for generating a static identifier.
  • the ASFM fixes the receipt of information about the implementation of the first transaction using a mobile device with an installed payment application, for which there is already a record on the bank server about the client's registration data and the corresponding static identifier of the mobile device.
  • step 202 when information is received that the transaction was fraudulent in nature (step 202), then the corresponding entry is made in the ASFM, and for the generated static identifier of the mobile device from which this transaction was performed, a record is formed about entering it into the black list (step 203).
  • This situation can occur if customer data is stolen and used by a fraudster to register a payment application on his mobile device.
  • ASPM Upon the fact of the subsequent transaction (step 205), ASPM checks the corresponding static identifier for its presence in the black list.
  • the static identifier of the first device is obtained from the following parameters:
  • KERNEL OS ARCH aarch64 BOGOMIPS: 3.84
  • the static identifier of the second device is obtained from the following parameters:
  • KERNEL OS NAME Linux KERNEL OS ARCH : aarch64
  • step (206) upon completion of the ASPM check, a decision is made to block or approve the transaction. If it is blocked and the actions are regarded as fraudulent, the bank server also determines the transaction details of fraudsters, based on information about the transaction, which allows you to effectively block subsequent installations of payment applications (when comparing a static identifier with a previously blacklisted one), and fraudulent details to prevent the receipt of funds for them.
  • FIG. 3 shows a general view of the computing system implemented on the basis of the computing device (300).
  • the computing device (300) contains one or more processors (301) connected by a common information exchange bus, memory means such as RAM (302) and ROM (303), input/output interfaces (304), input/output devices (305), and a device for networking (306).
  • the processor (301) may be selected from a variety of devices currently widely used, such as IntelTM, AMDTM, AppleTM, Samsung ExynosTM, MediaTEKTM, Qualcomm SnapdragonTM, and etc. Under the processor, it is also necessary to take into account a graphics processor, for example, an NVIDIA or ATI GPU, which is also suitable for the full or partial execution of the method (100). In this case, the memory means can be the available memory capacity of the graphics card or graphics processor.
  • RAM (302) is a random access memory and is designed to store machine-readable instructions executable by the processor (301) to perform the necessary data logical processing operations.
  • the RAM (302) typically contains the executable instructions of the operating system and associated software components (applications, program modules, etc.).
  • a ROM (303) is one or more persistent storage devices such as a hard disk drive (HDD), a solid state drive (SSD), flash memory (EEPROM, NAND, etc.), optical storage media ( CD-R/RW, DVD-R/RW, BlueRay Disc, MD), etc.
  • I/O interfaces are used to organize the operation of device components (300) and organize the operation of external connected devices.
  • the choice of appropriate interfaces depends on the particular design of the computing device, which can be, but not limited to: PCI, AGP, PS/2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232, etc.
  • I/O information means for example, a keyboard, a display (monitor), a touch screen, a touchpad, a joystick, a mouse, a light pen, a stylus, touch panel, trackball, speakers, microphone, augmented reality, optical sensors, tablet, indicator lights, projector, camera, biometric identification means (retinal scanner, fingerprint scanner, voice recognition module), etc.
  • the network communication means (306) enables data communication by the device (300) via an internal or external computer network, such as an Intranet, Internet, LAN, and the like.
  • an internal or external computer network such as an Intranet, Internet, LAN, and the like.
  • one or more means (306) can be used, but not limited to: Ethernet card, GSM modem, GPRS modem, LTE modem, 5G modem, satellite communication module, NFC module, Bluetooth and / or BLE module, Wi-Fi module and others
  • satellite navigation tools in the device (300) can also be used, for example, GPS, GLONASS, BeiDou, Galileo.

Abstract

The claimed invention relates to the field of computer technology, and more particularly to methods for generating device identifiers for use in the field of data protection. A method (100) for generating a static identifier for mobile devices comprises the following steps performed with the aid of a processor: installing a payment application in the operating system of a mobile device (101); launching the payment application and registering a user therein, which includes collecting parameters of the mobile device (102), including: processor parameters, camera module parameters, memory module parameters, radio module parameters and at least the brand details of the mobile device; hashing the obtained set of parameters (103) using a context triggered piecewise hashing algorithm and a block recovery algorithm, wherein parameter hashing is performed by each of the algorithms in parallel; generating a static identifier for the mobile device on the basis of the performed hashing (104); linking the obtained identifier with the payment application of the specific user (105); transmitting the obtained identifier to a server of an automated fraud monitoring system (AFMS) (106). The invention is directed toward improving the accuracy of identification of mobile devices by generating a static identifier.

Description

СПОСОБ ФОРМИРОВАНИЯ СТАТИЧНОГО ИДЕНТИФИКАТОРА МОБИЛЬНЫХ УСТРОЙСТВ METHOD FOR FORMING STATIC IDENTIFIER OF MOBILE DEVICES
ОБЛАСТЬ ТЕХНИКИ FIELD OF TECHNOLOGY
[0001] Заявленное решение относится к области компьютерной техники, в частности к методам формирования идентификаторов устройств для их применения в области защиты информации. [0001] The claimed solution relates to the field of computer technology, in particular to methods for generating device identifiers for their use in the field of information security.
УРОВЕНЬ ТЕХНИКИ BACKGROUND OF THE INVENTION
[0002] В настоящее время применение мобильный приложений для получения финансовых услуг является широко используемым способом взаимодействия пользователей с банками. Однако с массовым распространением получения услуг в цифровом формате возросло также и количество мошеннической активности, направленной на хищение средств пользователей, что обуславливает необходимость разработки новых средств защиты пользователей от действий мошенников. [0002] Currently, the use of mobile applications for obtaining financial services is a widely used way for users to interact with banks. However, with the massive spread of receiving services in digital format, the amount of fraudulent activity aimed at stealing user funds has also increased, which necessitates the development of new means of protecting users from the actions of fraudsters.
[0003] Особенно критичной данная проблема является для мобильных устройств под управлением OCAndroid. Банковское мобильное приложение предоставляет возможность получать идентификатор мобильного устройства и передавать его в информационные системы банка. Данная возможность по умолчанию предоставляется всем приложениям, установленным на мобильном устройстве. На основе этого идентификатора банк осуществляет дополнительную верификацию клиента при совершении транзакций и при наличии расхождений в идентификаторах клиента, может приостановить, либо отклонить транзакцию, как подозрительную. [0003] This problem is especially critical for mobile devices running OCAndroid. The banking mobile application provides the ability to receive a mobile device ID and transfer it to the bank's information systems. This feature is provided by default to all applications installed on the mobile device. Based on this identifier, the bank performs additional verification of the client when making transactions, and if there are discrepancies in the client's identifiers, it can suspend or reject the transaction as suspicious.
[0004] Операционная система (далее - ОС) Android начиная с 10 версии и выше, в целях повышения конфиденциальности пользователей мобильных устройств ограничила доступ к не сбрасываемым (статичным) идентификаторам устройств, в том числе для приложений, установленных и работающих на устройстве. При сбросе устройства до заводских настроек, идентификатор, доступный установленным на устройстве приложениям, изменяется. Таким образом, однозначная идентификация клиентского мобильного устройства на стороне банка не представляется возможной. [0004] The Android operating system (hereinafter referred to as OS) from version 10 and higher, in order to increase the privacy of mobile device users, has limited access to non-resettable (static) device identifiers, including for applications installed and running on the device. When you reset the device to factory settings, the identifier available to applications installed on the device changes. Thus, unambiguous identification of the client's mobile device on the bank's side is not possible.
[0005] Злоумышленники, используя различные методики воздействия на клиентов банка, в том числе социальную инженерию, могут получить доступ к критическим данным клиентов, затем эти данные могут быть использованы для установки банковских приложений на устройстве злоумышленника с дальнейшей регистрацией его в банке. Злоумышленник после регистрации такого приложения на своем устройстве от имени клиента получает доступ к денежным средствам клиента и далее предпринимает попытки хищения этих средств. [0005] Attackers, using various methods of influencing bank customers, including social engineering, can gain access to critical data customers, then this data can be used to install banking applications on the attacker's device with further registration with the bank. An attacker, after registering such an application on his device on behalf of the client, gains access to the client's funds and then attempts to steal these funds.
[0006] Существуют подходы в части формирования комплексных ID устройств (патентная заявка US 20140164178 А1, 12.06.2014), при которых ID формируется на основании существующей информации о регистрационных данных пользователя различных аккаунтов, позволяя тем самым сформировать более уникальный ID для применения в целях аутентификации. [0006] There are approaches regarding the formation of complex device IDs (patent application US 20140164178 A1, 06/12/2014), in which the ID is generated based on existing information about the user's registration data of various accounts, thereby allowing the formation of a more unique ID for use for authentication .
[0007] Существенной проблемой существующих подходов является ключевое использование цифровой информации и базовых аппаратных номеров мобильных устройств, например, IMEI, серийный номер и т.п. Эти данные достаточно уязвимы и не позволяет формировать на их основании статичный идентификатора, который не будет существенно изменяться при заводском сбросе устройств, также, начиная с 1 Ой версии ОС Android, такого рода данные не доступны мобильным приложениям. [0007] A significant problem with existing approaches is the key use of digital information and basic hardware numbers of mobile devices, such as IMEI, serial number, and the like. This data is quite vulnerable and does not allow generating a static identifier based on it, which will not change significantly during a factory reset of devices, also, starting from version 1 of the Android OS, this kind of data is not available to mobile applications.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ SUMMARY OF THE INVENTION
[0008] Заявленное изобретение позволяет решить техническую проблему в части создания нового робастного и устойчивого идентификатора мобильного устройства для последующего его применения для отслеживания мошеннической активности. [0008] The claimed invention solves the technical problem in terms of creating a new robust and stable mobile device identifier for its subsequent use to track fraudulent activity.
[0009] Техническим результатом является повышение точности идентификации мобильных устройств, за счет формирования статичного идентификатора. [0009] The technical result is to increase the accuracy of identifying mobile devices by generating a static identifier.
[0010] Заявленное решение осуществляется с помощью способа формирования статичного идентификатора мобильных устройств под управлением ОС Android, содержащего этапы, на которых с помощью процессора мобильного устройства: устанавливают платежное приложение в ОС мобильного устройства; осуществляют запуск платежного приложения и регистрацию пользователя в нем, при этом осуществляют сбор параметров мобильного устройства, включающих в себя: параметры процессора, параметры модуля камеры, параметры модуля памяти, параметры радиомодуля, и по меньшей мере данные марки мобильного устройства; осуществляют хэширование полученного набора параметров с помощью алгоритма кусочного хэширования, инициированного контекстом, и алгоритма блочного восстановления, при это хэширование параметров каждым из алгоритмов выполняется параллельно; формируют статичный идентификатор мобильного устройства на основании выполненного хэширования; связывают полученный идентификатор с платежным приложением конкретного пользователя; передают полученный идентификатор на сервер автоматизированной системы фрод- мониторинга (АСФМ). [0010] The claimed solution is implemented using a method for generating a static identifier for mobile devices running the Android OS, comprising the steps of: installing a payment application in the OS of the mobile device using the processor of the mobile device; launching the payment application and registering the user in it, while collecting mobile device parameters, including: processor parameters, camera module parameters, memory module parameters, radio module parameters, and at least mobile device brand data; carry out hashing of the obtained set of parameters using the piecewise hashing algorithm initiated by the context and the block hashing algorithm recovery, while the hashing of the parameters by each of the algorithms is performed in parallel; generating a static identifier of the mobile device based on the performed hashing; linking the received identifier with the payment application of a particular user; transfer the received identifier to the server of the automated fraud monitoring system (AFMS).
[ООП] В одном из частных примеров осуществления способа параметры процессора включают по меньшей мере одно из: количество ядер процессора, частота процессора, модель процессора, название ядра, архитектура ядра, поддерживаемая архитектура. [OOP] In one particular embodiment of the method, the processor parameters include at least one of: number of processor cores, processor frequency, processor model, core name, core architecture, supported architecture.
[0012] В другом частном примере осуществления способа параметры модуля камеры включают по меньшей мере одно из: размер сенсора камеры, фокальное расстояние камеры, горизонтальный угол отстройки камеры, вертикальный угол отстройки камеры, максимальная продолжительность кадра. [0012] In another particular embodiment of the method, the parameters of the camera module include at least one of: camera sensor size, camera focal length, horizontal camera offset angle, vertical camera offset angle, maximum frame duration.
[0013] В другом частном примере осуществления способа параметры модуля памяти включают по меньшей мере одно из: общий объем физической оперативной памяти, общий объем доступного свопа, общий объем памяти от общего выделенного виртуального адресного пространства. [0013] In another particular embodiment of the method, the parameters of the memory module include at least one of: the total amount of physical RAM, the total amount of available swap, the total amount of memory from the total allocated virtual address space.
[0014] В другом частном примере осуществления способа параметры радиомодуля включают по меньшей мере одно из: идентификатор DRM-схемы, версия прошивки радиомодуля, данные базовой платы. [0014] In another particular embodiment of the method, the radio module parameters include at least one of: DRM scheme identifier, radio module firmware version, baseboard data.
[0015] В другом частном примере осуществления способа параметры дополнительно включают по меньшей мере одно из: параметр проверки диапазона процессора, номер списка изменений, данные производителя, название мобильного устройства, название промышленного образца, разрешение экрана, строка идентификатора сборки. [0015] In another particular embodiment of the method, the parameters further include at least one of: processor range check parameter, changelog number, manufacturer data, mobile device name, industrial design name, screen resolution, assembly ID string.
[0016] Заявленное решение также осуществляется с помощью способа выявления мошеннических транзакций, осуществляемых с помощью мобильных устройств, при этом способ содержит этапы, на которых: с помощью АСФМ: фиксируют регистрацию платежного приложения на мобильном устройстве; формируют статичный идентификатор мобильного устройства вышеуказанным способом; связывают полученный идентификатор с регистрационными данными пользователя платежного приложения; фиксируют выполнение транзакции посредством платежного приложения; получают данные о совершении мошеннической транзакции посредством упомянутого платежного приложения; вносят в черный список по меньшей мере полученный статичный идентификатор мобильного устройства; блокируют работу платежного приложения на мобильном устройстве, содержащем идентификатор, внесенный в черный список. [0016] The claimed solution is also carried out using a method for detecting fraudulent transactions carried out using mobile devices, the method comprising the steps of: using ASFM: fixing the registration of a payment application on a mobile device; generating a static identifier of the mobile device in the above manner; associating the received identifier with the registration data of the user of the payment application; fixing the execution of the transaction through the payment application; receive data on the completion of a fraudulent transaction through said payment application; blacklisting at least the obtained static identifier of the mobile device; block the operation of the payment application on a mobile device containing a blacklisted identifier.
[0017] В одном из частных примеров реализации способа фиксируют реквизиты счетов, на которые была осуществлена мошенническая транзакция. [0017] In one of the particular examples of the implementation of the method, the details of the accounts to which the fraudulent transaction was made are recorded.
[0018] В другом частном примере реализации способа выполняется внесение реквизитов счетов в черный список для последующих блокировок транзакций. [0018] In another particular example of the implementation of the method, account details are blacklisted for subsequent blocking of transactions.
[0019] Заявленное решение также реализуется с помощью устройства формирования статичного идентификатора мобильных устройств под управлением ОС Android, которое содержит по меньшей мере один процессор и по меньшей мере одну память, хранящую машиночитаемые инструкции, которые при их исполнении процессором выполняют вышеуказанный способ формирования статичного идентификатора. [0019] The claimed solution is also implemented using a device for generating a static identifier for mobile devices running the Android OS, which contains at least one processor and at least one memory storing machine-readable instructions that, when executed by the processor, perform the above method for generating a static identifier.
[0020] Заявленное решение также реализуется с помощью системы выявления мошеннических транзакций, которая содержит по меньшей мере один процессор и по меньшей мере одну память, хранящую машиночитаемые инструкции, которые при их исполнении процессором выполняют вышеописанный способ отслеживания мошеннических транзакций. [0020] The claimed solution is also implemented using a system for detecting fraudulent transactions, which contains at least one processor and at least one memory storing machine-readable instructions that, when executed by the processor, perform the above-described method of tracking fraudulent transactions.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ BRIEF DESCRIPTION OF THE DRAWINGS
[0021] Фиг. 1 иллюстрирует блок-схему способа формирования статичного идентификатора. [0021] FIG. 1 illustrates a flowchart of a method for generating a static identifier.
[0022] Фиг. 2 иллюстрирует блок-схему способа отслеживания мошеннических транзакций с помощью статичного идентификатора. [0022] FIG. 2 illustrates a flow diagram of a method for tracking fraudulent transactions using a static identifier.
[0023] Фиг. 3 иллюстрирует схему вычислительного устройства. ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ [0023] FIG. 3 illustrates a diagram of a computing device. IMPLEMENTATION OF THE INVENTION
[0024] На Фиг. 1 представлена блок-схема выполнения этапов способа (100) формирования статичного идентификатора. Заявленное решение выполняется при установке платежного приложения на этапе (101) в ОС мобильного устройства. Под термином «мобильное устройство» в рамках заявленного решения может пониматься смартфон, фаблет или планшет под управлением ОС Android. [0024] In FIG. 1 is a flowchart of the steps of the method (100) for generating a static identifier. The claimed solution is executed when installing the payment application at step (101) in the OS of the mobile device. The term "mobile device" in the framework of the claimed solution can be understood as a smartphone, phablet or tablet running the Android OS.
[0025] После установки платежного приложения, например, Сбербанк Онлайн, программная логика приложения запрашивает данные для последующей регистрации пользователя. Такими данными могут являться, ФИО, паспортные данные, номер платежной карты, номер телефона, логин/пароль для входа в приложение и т.п. Дополнительно может применяться биометрическая информация. После успешной регистрации для каждого пользователя создается уникальная запись под соответствующим идентификатором, которая сохраняется на сервере в единой базе данных. [0025] After installing a payment application, for example, Sberbank Online, the application program logic requests data for subsequent user registration. Such data may be, full name, passport data, payment card number, phone number, login / password for entering the application, etc. Additionally, biometric information can be used. After successful registration, a unique record is created for each user under the corresponding identifier, which is stored on the server in a single database.
[0026] После регистрации в приложении на этапе (102) осуществляется сбор данных мобильного устройства. Сбор осуществляется посредством программной логики платежного приложения, имеющего доступ к ОС мобильного устройства. В рамках осуществления настоящего этапа осуществляется сбор следующих параметров: параметры процессора, параметры модуля камеры, параметры модуля памяти, параметры радиомодуля, и по меньшей мере данные марки мобильного устройства. [0026] After registering with the application, at step (102), mobile device data is collected. The collection is carried out through the program logic of the payment application that has access to the OS of the mobile device. As part of the implementation of this stage, the following parameters are collected: processor parameters, camera module parameters, memory module parameters, radio module parameters, and at least mobile device brand data.
[0027] Данные мобильного устройства собираются по основным аппаратным модулям (процессор, память, камера, радиомодуль), а также системные данные, идентифицирующие само устройство. [0027] Mobile device data is collected on the main hardware modules (processor, memory, camera, radio module), as well as system data that identifies the device itself.
[0028] Параметры процессора могут выбираться из следующих данных, представленных в Таблице 1. [0028] Processor parameters may be selected from the following data presented in Table 1.
Таблица 1. Параметры процессора
Figure imgf000007_0001
[0029] Пример используемых параметров модуля камеры приведены в Таблице 2.Table 1. Processor parameters
Figure imgf000007_0001
[0029] An example of the parameters of the camera module used are shown in Table 2.
Таблица 2. Параметры камеры
Figure imgf000008_0001
Table 2. Camera parameters
Figure imgf000008_0001
[0030] Параметры модуля памяти могут включать в себя параметры, указанные в Таблице 3. [0030] The memory module parameters may include the parameters listed in Table 3.
Таблица 3. Параметры модуля памяти
Figure imgf000008_0002
Table 3. Memory module options
Figure imgf000008_0002
[0031] Пример используемых параметров радиомодуля приведен в Таблице 4. [0031] An example of the radio parameters used is shown in Table 4.
Таблица 4. Параметры радиомодуля
Figure imgf000008_0003
Table 4. Radio module parameters
Figure imgf000008_0003
[0032] Также дополнительно для формирования идентификатора используются системные параметры, приведенные в Таблице 5. Таблица 5. Системные параметры
Figure imgf000009_0001
[0032] Also, additionally, the system parameters shown in Table 5 are used to generate the identifier. Table 5. System parameters
Figure imgf000009_0001
[0033] По факту сбора требуемого набора вышеуказанных параметров, на этапе (103) осуществляется их последующее хэширование. ОС Android позволяет получать данные параметры без дополнительных разрешений со стороны владельца мобильного устройства. [0034] Данный список параметров позволяет добиться: [0033] Upon collection of the required set of the above parameters, at step (103) their subsequent hashing is carried out. The Android OS allows you to receive these parameters without additional permissions from the owner of the mobile device. [0034] This list of parameters allows you to achieve:
- уникальности получаемых идентификаторов, даже на одинаковых устройствах одного производителя; - uniqueness of received identifiers, even on the same devices of the same manufacturer;
- неизменности идентификатора на любом устройстве, даже при минорных и мажорных обновлениях ОС Android; - invariability of the identifier on any device, even with minor and major updates of the Android OS;
- воспроизводимости (повторяемость результатов) идентификатора при различных типах сбросов мобильного устройства до заводских и последующих восстановлений устройства. - reproducibility (repeatability of results) of the identifier for various types of resets of the mobile device to factory and subsequent device restores.
[0035] В зависимости от типа решаемых задач идентификатор, получаемый на вышеописанных параметрах, может быть статическим и\или вероятностным, это достигается за счёт использования различных алгоритмов преобразования данных. В настоящем решении используется комбинация криптографических алгоритмов хэширования и методов нечеткого хэширования (хэш-функции с сохранением сходства). Это сделано для минимизации возможных дальнейших ограничений по сбору системных параметров со стороны ОС Android, а также любых других изменений, которые могут возникнуть с системными параметрами мобильного устройства во время эксплуатации (например, аппаратная замена камеры или процессора в устройстве). [0035] Depending on the type of tasks being solved, the identifier obtained on the above parameters can be static and / or probabilistic, this is achieved through the use of various data conversion algorithms. The present solution uses a combination of cryptographic hashing algorithms and fuzzy hashing methods (similarity-preserving hash functions). This is done to minimize possible further restrictions on the collection of system parameters by the Android OS, as well as any other changes that may arise with the system parameters of the mobile device during operation (for example, hardware replacement of the camera or processor in the device).
[0036] На этапе (103) применяются две модифицированные хэш-функции с сохранением сходства (подобия): ssdeep [1] и SimHash [2]. Исходно данные алгоритмы были разработаны для задач компьютерной криминалистики, а именно: ускорение и автоматизация аналитики содержимого конкретного электронного документа, а также формализация и представление полученных доказательств в суде. Ssdeep относится к алгоритмам кусочного хэширования, инициированного контекстом, то есть во время хэширования создается хэш для нескольких дискретных сегментов данных, размер и количество которых определяются алгоритмически на основе контекста хэшируемых данных. SimHash является алгоритмом блочного восстановления и позволяет определить разницу расстояний между идентификаторами, вычислив расстояние Хэмминга, либо расстояние Дамерау-Левенштейна, либо XOR вектор. Путем дополнительного сравнения полученных числовых характеристик расстояний, можно выбирать как минимальное значение, что будет означать, что полученные идентификаторы могут относиться к одному устройству, так и максимальные значения, что будет говорить, о том, что это идентификаторы разных устройств. [0036] In step (103), two modified similarity-preserving hash functions are applied: ssdeep [1] and SimHash [2]. Initially, these algorithms were developed for the tasks of computer forensics, namely: the acceleration and automation of the analytics of the content of a particular electronic document, as well as the formalization and presentation of the obtained evidence in court. Ssdeep refers to context-initiated piecewise hashing algorithms, i.e. during hashing, a hash is generated for several discrete data segments, the size and number of which are determined algorithmically based on the context of the data being hashed. SimHash is a block recovery algorithm and allows you to determine the difference in distances between identifiers by calculating the Hamming distance, or the Damerau-Levenshtein distance, or the XOR vector. By additional comparison of the obtained numerical characteristics of the distances, you can choose both the minimum value, which will mean that the received identifiers can refer to one device, and the maximum values, which will indicate that these are identifiers of different devices.
[0037] Суть модификации алгоритмов, используемых в заявленном решении, заключается в фиксированных положениях дискретизации (сегментации) получаемой последовательности параметров на пять блоков, которые характеризуют основные системные модули мобильного устройства (процессор, камера, память, радиомодуль, системные данные), что позволяет алгоритмам ssdeep и SimHash производить расчет независимо от размеров и наличия строк каждого из системных параметров. Например, при замене камеры на устройстве, изменится идентификатор мобильного устройства, но благодаря алгоритмам хэширования с сохранением подобия можно определить наиболее вероятный (близкий) идентификатор, который был у устройства ранее, а также из-за фиксированных положений дискретизации определить модуль, в котором произошли изменения, аналогично при возможных ограничениях по сбору системных параметров со стороны ОС Android. Применение сразу двух алгоритмов хэширования независимо друг от друга также обусловлено повышением точности выявления вероятных идентификаторов и снижением ложноположительных срабатываний при целенаправленных атаках злоумышленников на алгоритмы [3]. [0037] The essence of the modification of the algorithms used in the claimed solution lies in the fixed sampling positions (segmentation) of the resulting sequence of parameters into five blocks that characterize the main system modules of the mobile device (processor, camera, memory, radio module, system data), which allows the algorithms ssdeep and SimHash calculate regardless of the size and presence of strings for each of the system parameters. For example, when you change the camera on the device, the identifier of the mobile device will change, but thanks to hashing algorithms with similarity preservation, you can determine the most probable (closest) identifier that the device had earlier, and also, due to fixed sampling positions, determine the module in which the changes occurred , similarly, with possible restrictions on the collection of system parameters from the Android OS. The use of two hashing algorithms at once, independently of each other, is also due to an increase in the accuracy of identifying probable identifiers and a decrease in false positives during targeted attacks by intruders on algorithms [3].
[0038] На этапе (104) по итогу применения функций хэширования формируется статичный идентификатор мобильного устройства. Идентификатор может иметь следующий вид: Wj6tqLi34kZsbPZCi+gGTyrTaHmoAnljO!wMwAxSxOWn:C3+zD3slOXsjJOc:C3FzD3slOXsjJ OcWj6tqLi34kZsbPZCi+gGTyrTaHmoAnlj01wlCYOSxOWn:ClfpwOcWj68LioBPZCiqyrGGJ nlfVxv. [0038] At step (104), a static mobile device identifier is generated as a result of applying the hash functions. The identifier may look like this: OcWj6tqLi34kZsbPZCi+gGTyrTaHmoAnlj01wlCYOSxOWn:ClfpwOcWj68LioBPZCiqyrG GJ nlfVxv.
[0039] Сформированный статичный идентификатор связывается с регистрационными данными пользователя, введенными в платежное приложение, и на этапе (105) передаются в базу данных на сервер. Периодичность формирования и передачи идентификаторов мобильных устройств на сервер может варьироваться в зависимости от целей и задач организации (единоразово, событийно, либо по расписанию). Полученные идентификаторы аккумулируются в автоматизированных системах организации и позволяют проводить идентификацию клиентских мобильных устройств при работе с приложением. [0039] The generated static identifier is associated with the user registration data entered in the payment application, and at step (105) are transferred to the database on the server. The frequency of generating and transferring mobile device identifiers to the server may vary depending on the goals and objectives of the organization (one-time, event-based, or scheduled). The received identifiers are accumulated in the automated systems of the organization and allow identification of client mobile devices when working with the application.
[0040] При выявлении аномалий (изменений) в идентификаторах клиента, банк может приостановить, либо отклонить транзакцию, как подозрительную, тем самым предотвратив возможное мошенничество (хищение денежных средств, либо имущества) в отношении клиента банка. [0040] If anomalies (changes) are detected in the client's identifiers, the bank can suspend or reject the transaction as suspicious, thereby preventing possible fraud (theft of funds or property) in relation to the bank's client.
[0041] Уникальность заявленного подхода заключается в формировании идентификатора, одновременно сочетающего в себе несколько свойств: [0041] The uniqueness of the claimed approach lies in the formation of an identifier that simultaneously combines several properties:
- Статичность - устойчивый к изменениям в ОС на мобильных устройствах и не требующих дополнительных разрешений для мобильного платежного приложения.- Static - resistant to changes in the OS on mobile devices and does not require additional permissions for the mobile payment application.
- Вероятностная устойчивость - в случае изменения подхода разработчиков ОС для мобильных устройств остаются доступные характеристики, необходимые для формирования идентификатора. - Probabilistic stability - in the event of a change in the approach of OS developers for mobile devices, the available characteristics necessary for generating an identifier remain.
[0042] Сформированная на этапе (105) информация, записанная на сервере банка, передается на этапе (106) на сервер автоматизированной системы фрод-мониторинга (АСФМ). Автоматизированная система фрод-мониторинга банка анализирует и выявляет аномалии в транзакционном потоке клиентов, помещая идентификаторы мобильных устройств злоумышленников в «чёрные» списки, тем самым предотвращая дальнейшие установки и регистрации платежных приложений на устройствах злоумышленников. [0042] The information generated at step (105) recorded on the bank server is transmitted at step (106) to the server of the automated fraud monitoring system (AFMS). The bank's automated fraud monitoring system analyzes and detects anomalies in the transaction flow of customers, placing the identifiers of the attackers' mobile devices on the "black" lists, thereby preventing further installation and registration of payment applications on the devices of the attackers.
[0043] На Фиг. 2 представлен пример работы способа (200) отслеживания мошеннических транзакций с помощью вышеописанного метода формирования статичного идентификатора. На первом этапе (201) АСФМ фиксирует получение сведений об осуществлении первой транзакции с помощью мобильного устройства с установленным платежным приложением, для которого уже имеется запись на сервере банка о регистрационных данных клиента и соответствующего статичного идентификатора мобильного устройства. [0044] По факту совершенной транзакции, ее первичный статус неизвестен, и она, как правило, обрабатывается банком. Однако, при поступлении информации о том, что транзакция носила мошеннический характер (этап 202), то соответствующая запись делается в АСФМ, и для сформированного статичного идентификатора мобильного устройства, с которого была выполнена данная транзакция, формируется запись о внесении его в черный список (этап 203). [0043] In FIG. 2 shows an example of the operation of the method (200) for tracking fraudulent transactions using the above-described method for generating a static identifier. At the first stage (201), the ASFM fixes the receipt of information about the implementation of the first transaction using a mobile device with an installed payment application, for which there is already a record on the bank server about the client's registration data and the corresponding static identifier of the mobile device. [0044] Once a transaction has been made, its primary status is unknown, and it is usually processed by the bank. However, when information is received that the transaction was fraudulent in nature (step 202), then the corresponding entry is made in the ASFM, and for the generated static identifier of the mobile device from which this transaction was performed, a record is formed about entering it into the black list (step 203).
[0045] Такая ситуация может произойти в случае хищения данных клиента и их использования мошенником для регистрации платёжного приложения на своем мобильном устройстве. [0045] This situation can occur if customer data is stolen and used by a fraudster to register a payment application on his mobile device.
[0046] При факте осуществления последующего совершения транзакции (этап 205) АСФМ осуществляет проверки соответствующего статичного идентификатора на предмет его наличия в черном списке. [0046] Upon the fact of the subsequent transaction (step 205), ASPM checks the corresponding static identifier for its presence in the black list.
[0047] Рассмотрим пример сравнения статичных идентификаторов. [0047] Consider an example of comparing static identifiers.
[0048] Статичный идентификатор первого устройства получен по следующим параметрам: [0048] The static identifier of the first device is obtained from the following parameters:
BOARD : COL BOARD: COL
BRAND : HONOR BRAND: HONOR
DISPLAY : COL-L29 10.0.0.177(C1OE4R1P4) DISPLAY : COL-L29 10.0.0.177(C1OE4R1P4)
CPU ABI : armeabi-v7a/armeabi CPU ABI : armeabi-v7a/armeabi
CPU ABI2 : arm64-v8a CPU ABI2: arm64-v8a
RADIO VERSION : 21C20B369S009C000,21C20B369S009C000 RADIO VERSION : 21C20B369S009C000,21C20B369S009C000
HARDWARE : Hisilicon Kirin970 HARDWARE : Hisilicon Kirin970
ID : HUAWEICOL-L29 ID : HUAWEICOL-L29
MANUFACTURER : HUAWEI MANUFACTURER : HUAWEI
MODEL : COL-L29 MODEL : COL-L29
DEVICE : HWCOL DEVICE : HWCOL
OUTPUT SIZES : 176x144 OUTPUT SIZES : 176x144
HIGH SPEED SIZES : 1920x1080 HIGH SPEED SIZES : 1920x1080
MAX FRAME DURATION : 9000000000 MAX FRAME DURATION : 9000000000
CAMERA SENSOR SIZE : 5.16/3.87 CAMERA SENSOR SIZE : 5.16/3.87
CAMERA O FOCAL LENGTH : 3.95 CAMERA O FOCAL LENGTH : 3.95
CAMERA O HORIZONTAL ANGLE : 66.302284CAMERA O HORIZONTAL ANGLE : 66.302284
CAMERA O VERTICAL ANGLE : 52.19801 CAMERA O VERTICAL ANGLE : 52.19801
KERNEL OS NAME : Linux KERNEL OS NAME : Linux
KERNEL OS ARCH : aarch64 BOGOMIPS : 3.84 KERNEL OS ARCH : aarch64 BOGOMIPS: 3.84
CPU ARCHITECTURE : 8 CPU ARCHITECTURE : 8
CPU VARIANT : 0x0 CPU VARIANT : 0x0
CPU PART : 0xd09 CPU PART : 0xd09
CPU REVISION : 2 CPU REVISION: 2
MEMTOTAL : 3714672 кВ MEMTOTAL : 3714672 kV
SWAPTOTAL : 2293756 кВ SWAPTOTAL : 2293756 kV
COMMITLIMIT : 4151092 кВ COMMITLIMIT : 4151092 kV
VMALLOCTOTAL : 263061440 кВ VMALLOCTOTAL : 263061440 kV
WIDEVINE UUID SYSTEM ID : 7893 WIDEVINE UUID SYSTEM ID : 7893
И имеет вид: And looks like:
Wj6tqLi34kZsbPZCi+gGTyrTaHmoAnlj01wMwAxSxOWn:C3+zD3slOXsjJOc:C3FzD3slOXsjJWj6tqLi34kZsbPZCi+gGTyrTaHmoAnlj01wMwAxSxOWn:C3+zD3slOXsjJOc:C3FzD3slOXsjJ
OcWj6tqLi34kZsbPZCi+gGTyrTaHmoAnlj01wlCYOSxOWn:ClfpwOcWj68LioBPZCiqyrGGJ nlfVxv. OcWj6tqLi34kZsbPZCi+gGTyrTaHmoAnlj01wlCYOSxOWn:ClfpwOcWj68LioBPZCiqyrGGJ nlfVxv.
[0049] Статичный идентификатор второго устройства получен по следующим параметрам: [0049] The static identifier of the second device is obtained from the following parameters:
BOARD : COL BOARD: COL
BRAND : HONOR BRAND: HONOR
DISPLAY : COL-L29 10.0.0.177(C1OE4R1P4) DISPLAY : COL-L29 10.0.0.177(C1OE4R1P4)
CPU ABI : armeabi-v7a/armeabi CPU ABI : armeabi-v7a/armeabi
CPU ABI2 : arm64-v8a CPU ABI2: arm64-v8a
RADIO VERSION : 21C20B369S009C000,21C20B369S009C000 RADIO VERSION : 21C20B369S009C000,21C20B369S009C000
HARDWARE : Hisilicon Kirin970 HARDWARE : Hisilicon Kirin970
ID : HUAWEICOL-L29 ID : HUAWEICOL-L29
MANUFACTURER : HUAWEI MANUFACTURER : HUAWEI
MODEL : COL-L29 MODEL : COL-L29
DEVICE : HWCOL DEVICE : HWCOL
OUTPUT SIZES : 176x144 OUTPUT SIZES : 176x144
HIGH SPEED SIZES : 1920x1080 HIGH SPEED SIZES : 1920x1080
MAX FRAME DURATION : 9000000000 MAX FRAME DURATION : 9000000000
CAMERA SENSOR SIZE : 5.16/3.87 CAMERA SENSOR SIZE : 5.16/3.87
CAMERA O FOCAL LENGTH : 3.95 CAMERA O FOCAL LENGTH : 3.95
CAMERA O HORIZONTAL ANGLE : 66.302284 CAMERA O HORIZONTAL ANGLE : 66.302284
CAMERA O VERTICAL ANGLE : 52.19801 CAMERA O VERTICAL ANGLE : 52.19801
KERNEL OS NAME : Linux KERNEL OS ARCH : aarch64 KERNEL OS NAME : Linux KERNEL OS ARCH : aarch64
BOGOMIPS : 3.84 BOGOMIPS: 3.84
CPU ARCHITECTURE : 8 CPU ARCHITECTURE : 8
CPU_VARIANT : 0x0 CPU_VARIANT : 0x0
CPU PART : 0xd09 CPU PART : 0xd09
CPU REVISION : 2 CPU REVISION: 2
MEMTOTAL : 3714673 кВ MEMTOTAL : 3714673 kV
SWAPTOTAL : 2293757 кВ SWAPTOTAL : 2293757 kV
COMMITLIMIT : 4151092 кВ COMMITLIMIT : 4151092 kV
VMALLOCTOTAL : 263061440 кВ VMALLOCTOTAL : 263061440 kV
WIDEVINE UUID SYSTEM ID : 7893 WIDEVINE UUID SYSTEM ID : 7893
И имеет вид: And looks like:
Wj6tqLi34kZsbPZCi+gGTyrTaHmoAnlj01wMwAxSxOWn:C3+zD3slOXsjJOc:C3FzD3slOXsjJ OcWj6tqLi34kZsbPZCi+gGTyrTaHmoAnljO 1 wlCY0Sx0Wn:C 1 fpwOcWj68LioBPZCiqyrGGJ nlUdAxv. Wj6tqLi34kZsbPZCi+gGTyrTaHmoAnlj01wMwAxSxOWn:C3+zD3slOXsjJOc:C3FzD3slOXsjJ OcWj6tqLi34kZsbPZCi+gGTyrTaHmoAnljO 1 wlCY0Sx0Wn:C 1 fpwOcWj68LioBPZ CiqyrGGJ nlUdAxv.
[0050] У обоих примеров устройств все параметры одинаковы, кроме MEMTOTAL и SWAPTOTAL (отличаются на 1 Кб), соответственно базовые идентификаторы у них получаются разные: 2be8b842-7c80-4480-8158-d62a3104bf53 и ee5ebc7f-5b65-41ec-87df- 75b74301786f. [0050] For both examples of devices, all parameters are the same, except for MEMTOTAL and SWAPTOTAL (they differ by 1 KB), respectively, they have different basic identifiers: 2be8b842-7c80-4480-8158-d62a3104bf53 and ee5ebc7f-5b65-41ec-87df-75b74301786f.
При сравнении статичных идентификаторов с помощью алгоритма ssdeep становится ясно, что с вероятностью 99% это идентификатор одного и того же устройства. When comparing static identifiers using the ssdeep algorithm, it becomes clear that with a probability of 99% this is the identifier of the same device.
При этом, если фиксируется появление нового идентификатора у одного и того же пользователя, но при этом статичный идентификатор говорит о том, что новый идентификатор очень похож на предыдущий, то это позволяет дополнительно учитывать такие изменения в системе фрод-мониторинга и более быстро реагировать на возможные попытки мошеннической активности. At the same time, if the appearance of a new identifier for the same user is recorded, but the static identifier indicates that the new identifier is very similar to the previous one, then this allows you to additionally take into account such changes in the fraud monitoring system and more quickly respond to possible attempts at fraudulent activity.
[0051] На этапе (206) по факту выполненной проверки АСФМ принимается решение о блокировке или одобрению транзакции. В случае ее блокировки и расценивании действий как мошеннических на сервере банка выполняется определение также транзакционных реквизитов мошенников, на основании информации о совершенной транзакции, что позволяет как эффективно блокировать последующие установки платежных приложений (при сравнении статичного идентификатора с ранее внесенным в черный список), так и мошеннических реквизитов для предотвращения поступления на них средств. [0051] At step (206), upon completion of the ASPM check, a decision is made to block or approve the transaction. If it is blocked and the actions are regarded as fraudulent, the bank server also determines the transaction details of fraudsters, based on information about the transaction, which allows you to effectively block subsequent installations of payment applications (when comparing a static identifier with a previously blacklisted one), and fraudulent details to prevent the receipt of funds for them.
[0052] На Фиг. 3 представлен общий вид вычислительной системы, реализованной на базе вычислительного устройства (300). В общем случае, вычислительное устройство (300) содержит объединенные общей шиной информационного обмена один или несколько процессоров (301), средства памяти, такие как ОЗУ (302) и ПЗУ (303), интерфейсы ввода/вывода (304), устройства ввода/вывода (305), и устройство для сетевого взаимодействия (306). [0052] In FIG. 3 shows a general view of the computing system implemented on the basis of the computing device (300). In general, the computing device (300) contains one or more processors (301) connected by a common information exchange bus, memory means such as RAM (302) and ROM (303), input/output interfaces (304), input/output devices (305), and a device for networking (306).
[0053] Процессор (301) (или несколько процессоров, многоядерный процессор) могут выбираться из ассортимента устройств, широко применяемых в текущее время, например, компаний Intel™, AMD™, Apple™, Samsung Exynos™, MediaTEK™, Qualcomm Snapdragon™ и т.п. Под процессором также необходимо учитывать графический процессор, например, GPU NVIDIA или ATI, который также является пригодным для полного или частичного выполнения способа (100). При этом, средством памяти может выступать доступный объем памяти графической карты или графического процессора. [0053] The processor (301) (or multiple processors, multi-core processor) may be selected from a variety of devices currently widely used, such as Intel™, AMD™, Apple™, Samsung Exynos™, MediaTEK™, Qualcomm Snapdragon™, and etc. Under the processor, it is also necessary to take into account a graphics processor, for example, an NVIDIA or ATI GPU, which is also suitable for the full or partial execution of the method (100). In this case, the memory means can be the available memory capacity of the graphics card or graphics processor.
[0054] ОЗУ (302) представляет собой оперативную память и предназначено для хранения исполняемых процессором (301) машиночитаемых инструкций для выполнение необходимых операций по логической обработке данных. ОЗУ (302), как правило, содержит исполняемые инструкции операционной системы и соответствующих программных компонент (приложения, программные модули и т.п.). [0054] RAM (302) is a random access memory and is designed to store machine-readable instructions executable by the processor (301) to perform the necessary data logical processing operations. The RAM (302) typically contains the executable instructions of the operating system and associated software components (applications, program modules, etc.).
[0055] ПЗУ (303) представляет собой одно или более устройств постоянного хранения данных, например, жесткий диск (HDD), твердотельный накопитель данных (SSD), флэш- память (EEPROM, NAND и т.п.), оптические носители информации (CD-R/RW, DVD- R/RW, BlueRay Disc, MD) и др. [0055] A ROM (303) is one or more persistent storage devices such as a hard disk drive (HDD), a solid state drive (SSD), flash memory (EEPROM, NAND, etc.), optical storage media ( CD-R/RW, DVD-R/RW, BlueRay Disc, MD), etc.
[0056] Для организации работы компонентов устройства (300) и организации работы внешних подключаемых устройств применяются различные виды интерфейсов В/В (304). Выбор соответствующих интерфейсов зависит от конкретного исполнения вычислительного устройства, которые могут представлять собой, не ограничиваясь: PCI, AGP, PS/2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232 и т.п. [0056] Various types of I/O interfaces (304) are used to organize the operation of device components (300) and organize the operation of external connected devices. The choice of appropriate interfaces depends on the particular design of the computing device, which can be, but not limited to: PCI, AGP, PS/2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232, etc.
[0057] Для обеспечения взаимодействия пользователя с вычислительным устройством (300) применяются различные средства (305) В/В информации, например, клавиатура, дисплей (монитор), сенсорный дисплей, тач-пад, джойстик, манипулятор мышь, световое перо, стилус, сенсорная панель, трекбол, динамики, микрофон, средства дополненной реальности, оптические сенсоры, планшет, световые индикаторы, проектор, камера, средства биометрической идентификации (сканер сетчатки глаза, сканер отпечатков пальцев, модуль распознавания голоса) и т.п. [0057] To ensure user interaction with the computing device (300), various I/O information means (305) are used, for example, a keyboard, a display (monitor), a touch screen, a touchpad, a joystick, a mouse, a light pen, a stylus, touch panel, trackball, speakers, microphone, augmented reality, optical sensors, tablet, indicator lights, projector, camera, biometric identification means (retinal scanner, fingerprint scanner, voice recognition module), etc.
[0058] Средство сетевого взаимодействия (306) обеспечивает передачу данных устройством (300) посредством внутренней или внешней вычислительной сети, например, Интранет, Интернет, ЛВС и т.п. В качестве одного или более средств (306) может использоваться, но не ограничиваться: Ethernet карта, GSM модем, GPRS модем, LTE модем, 5G модем, модуль спутниковой связи, NFC модуль, Bluetooth и/или BLE модуль, Wi-Fi модуль и др. [0058] The network communication means (306) enables data communication by the device (300) via an internal or external computer network, such as an Intranet, Internet, LAN, and the like. As one or more means (306) can be used, but not limited to: Ethernet card, GSM modem, GPRS modem, LTE modem, 5G modem, satellite communication module, NFC module, Bluetooth and / or BLE module, Wi-Fi module and others
[0059] Дополнительно могут применяться также средства спутниковой навигации в составе устройства (300), например, GPS, ГЛОНАСС, BeiDou, Galileo. [0059] Additionally, satellite navigation tools in the device (300) can also be used, for example, GPS, GLONASS, BeiDou, Galileo.
[0060] Представленные материалы заявки раскрывают предпочтительные примеры реализации технического решения и не должны трактоваться как ограничивающие иные, частные примеры его воплощения, не выходящие за пределы испрашиваемой правовой охраны, которые являются очевидными для специалистов соответствующей области техники. [0060] The submitted application materials disclose preferred examples of the implementation of the technical solution and should not be construed as limiting other, particular examples of its implementation that do not go beyond the scope of the requested legal protection, which are obvious to specialists in the relevant field of technology.
Источники информации: Information sources:
[1] Komblum, J “Identifying almost identical files using context trigger piecewise hashing,” Digital Investigation, vol. 3(S 1 ), pp. 91-97, 2006 [1] Komblum, J “Identifying almost identical files using context trigger piecewise hashing,” Digital Investigation, vol. 3(S 1 ), pp. 91-97, 2006
[2] C. Sadowsky and G. Levin, “Simhash: Hash-based similarity detection,” Tech. Rep., 2007. [Online]. Available: http://simhash. googlecode.com/svn/trunk/paper/SimHashWithBib.pdf[2] C. Sadowsky and G. Levin, “Simhash: Hash-based similarity detection,” Tech. Rep., 2007. [Online]. available: http://simhash. googlecode.com/svn/trunk/paper/SimHashWithBib.pdf
[3] H. Baier and F. Breitinger, “Security aspects of piecewise hashing in computer forensics,” in Sixth International Conference on IT Security Incident Management and IT Forensics (IMF 2001), 2011, pp. 21-36. [3] H. Baier and F. Breitinger, “Security aspects of piecewise hashing in computer forensics,” in Sixth International Conference on IT Security Incident Management and IT Forensics (IMF 2001), 2011, pp. 21-36.

Claims

ФОРМУЛА FORMULA
1. Способ формирования статичного идентификатора мобильных устройств под управлением ОС Android, содержащий этапы, на которых с помощью процессора мобильного устройства: устанавливают платежное приложение в ОС мобильного устройства; осуществляют запуск платежного приложения и регистрацию пользователя в нем, при этом осуществляют сбор параметров мобильного устройства, включающих в себя: параметры процессора, параметры модуля камеры, параметры модуля памяти, параметры радиомодуля, и по меньшей мере данные марки мобильного устройства; осуществляют хэширование полученного набора параметров с помощью алгоритма кусочного хэширования, инициированного контекстом, и алгоритма блочного восстановления, при это хэширование параметров каждым из алгоритмов выполняется параллельно; формируют статичный идентификатор мобильного устройства на основании выполненного хэширования; связывают полученный идентификатор с платежным приложением конкретного пользователя; передают полученный идентификатор на сервер автоматизированной системы фрод-мониторинга (АСФМ). 1. A method for generating a static identifier for mobile devices running the Android OS, comprising the steps of: using the processor of the mobile device: installing a payment application in the OS of the mobile device; launching the payment application and registering the user in it, while collecting mobile device parameters, including: processor parameters, camera module parameters, memory module parameters, radio module parameters, and at least mobile device brand data; carrying out hashing of the obtained set of parameters using a piecewise hashing algorithm initiated by the context, and a block recovery algorithm, with the hashing of the parameters by each of the algorithms is performed in parallel; generating a static identifier of the mobile device based on the performed hashing; linking the received identifier with the payment application of a specific user; transmitting the received identifier to the server of the automated fraud monitoring system (AFMS).
2. Способ по п.1, характеризующийся тем, что параметры процессора включают по меньшей мере одно из: количество ядер процессора, частота процессора, модель процессора, название ядра, архитектура ядра, поддерживаемая архитектура. 2. The method according to claim 1, characterized in that the processor parameters include at least one of: number of processor cores, processor frequency, processor model, core name, core architecture, supported architecture.
3. Способ по п.1 , характеризующийся тем, что параметры модуля камеры включают по меньшей мере одно из: размер сенсора камеры, фокальное расстояние камеры, горизонтальный угол отстройки камеры, вертикальный угол отстройки камеры, максимальная продолжительность кадра. 3. The method according to claim 1, characterized in that the camera module parameters include at least one of: camera sensor size, camera focal length, horizontal camera offset angle, vertical camera offset angle, maximum frame duration.
4. Способ по п.1 , характеризующийся тем, что параметры модуля памяти включают по меньшей мере одно из: общий объем физической оперативной памяти, общий объем доступного свопа, общий объем памяти от общего выделенного виртуального адресного пространства. 4. The method according to claim 1, characterized in that the parameters of the memory module include at least one of: the total amount of physical RAM, the total amount of available swap, the total amount of memory from the total allocated virtual address space.
5. Способ по п.1, характеризующийся тем, что параметры радиомодуля включают по меньшей мере одно из: идентификатор DRM-схемы, версия прошивки радиомодуля, данные базовой платы. 5. The method according to claim 1, characterized in that the radio module parameters include at least one of: DRM scheme identifier, radio module firmware version, base board data.
6. Способ по п.1 , характеризующийся тем, что параметры дополнительно включают по меньшей мере одно из: параметр проверки диапазона процессора, номер списка изменений, данные производителя, название мобильного устройства, название промышленного образца, разрешение экрана, строка идентификатора сборки. 6. The method of claim 1, wherein the parameters further include at least one of: processor range check parameter, changelog number, manufacturer data, mobile device name, industrial design name, screen resolution, assembly ID string.
7. Способ выявления мошеннических транзакций, осуществляемых с помощью мобильных устройств, при этом способ содержит этапы, на которых: с помощью АСФМ: фиксируют регистрацию платежного приложения на мобильном устройстве; формируют статичный идентификатор мобильного устройства по любому из пп. 1-6; связывают полученный идентификатор с регистрационными данными пользователя платежного приложения; фиксируют выполнение транзакции посредством платежного приложения; получают данные о совершении мошеннической транзакции посредством упомянутого платежного приложения; вносят в черный список по меньшей мере полученный статичный идентификатор мобильного устройства; блокируют работу платежного приложения на мобильном устройстве, содержащем идентификатор, внесенный в черный список. 7. A method for detecting fraudulent transactions carried out using mobile devices, the method comprising the steps of: using ASFM: fixing the registration of a payment application on a mobile device; form a static identifier of the mobile device according to any one of paragraphs. 1-6; associating the received identifier with the registration data of the user of the payment application; fixing the execution of the transaction through the payment application; receive data on the completion of a fraudulent transaction through said payment application; blacklisting at least the obtained static identifier of the mobile device; block the operation of the payment application on a mobile device containing a blacklisted identifier.
8. Способ по п. 7, характеризующийся тем, что фиксируют реквизиты счетов, на которые была осуществлена мошенническая транзакция. 8. The method according to claim 7, characterized in that the details of the accounts to which the fraudulent transaction was made are recorded.
9. Способ по п. 8, характеризующийся тем, что выполняется внесение реквизитов счетов в черный список для последующих блокировок транзакций. 9. The method according to claim 8, characterized in that the account details are blacklisted for subsequent blocking of transactions.
10. Устройство формирования статичного идентификатора мобильных устройств под управлением ОС Android, содержащее по меньшей мере один процессор и по меньшей мере одну память, хранящую машиночитаемые инструкции, которые при их исполнении процессором выполняют способ по любому из пп. 1-6. 10. A device for generating a static identifier for mobile devices running the Android OS, comprising at least one processor and at least one memory storing machine-readable instructions that, when executed by the processor, perform the method according to any one of paragraphs. 1-6.
11. Система выявления мошеннических транзакций, содержащая по меньшей мере один процессор и по меньшей мере одну память, хранящую машиночитаемые инструкции, которые при их исполнении процессором выполняют способ по любому из пп. 7-9. 11. A system for detecting fraudulent transactions, comprising at least one processor and at least one memory storing machine-readable instructions that, when executed by the processor, perform the method according to any one of paragraphs. 7-9.
PCT/RU2022/000367 2022-02-04 2022-12-13 Method for generating a static identifier for mobile devices WO2023149816A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2022102770 2022-02-04
RU2022102770A RU2779521C1 (en) 2022-02-04 Method and device for forming static identifier for mobile devices under android os, method and system for detecting fraud transactions using static identifier

Publications (1)

Publication Number Publication Date
WO2023149816A1 true WO2023149816A1 (en) 2023-08-10

Family

ID=87552691

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/RU2022/000367 WO2023149816A1 (en) 2022-02-04 2022-12-13 Method for generating a static identifier for mobile devices

Country Status (1)

Country Link
WO (1) WO2023149816A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160205096A1 (en) * 2013-05-13 2016-07-14 Hoyos Labs Ip Ltd. System and method for authorizing access to access-controlled environments
RU2715032C2 (en) * 2015-03-12 2020-02-21 Виза Интернэшнл Сервис Ассосиэйшн Mutual authentication of program levels
US20200184085A1 (en) * 2018-12-06 2020-06-11 Pasig And Hudson, Pvt Limited Computer method and graphical user interface for identity management using blockchain
US20200280550A1 (en) * 2019-02-28 2020-09-03 Nok Nok Labs, Inc. System and method for endorsing a new authenticator

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160205096A1 (en) * 2013-05-13 2016-07-14 Hoyos Labs Ip Ltd. System and method for authorizing access to access-controlled environments
RU2715032C2 (en) * 2015-03-12 2020-02-21 Виза Интернэшнл Сервис Ассосиэйшн Mutual authentication of program levels
US20200184085A1 (en) * 2018-12-06 2020-06-11 Pasig And Hudson, Pvt Limited Computer method and graphical user interface for identity management using blockchain
US20200280550A1 (en) * 2019-02-28 2020-09-03 Nok Nok Labs, Inc. System and method for endorsing a new authenticator

Similar Documents

Publication Publication Date Title
AU2019221574B2 (en) Asset management system, method, apparatus, and electronic device
US10778704B2 (en) Systems and methods for phishing and brand protection
RU2595511C2 (en) System and method of trusted applications operation in the presence of suspicious applications
US20210248234A1 (en) Malware Clustering Based on Function Call Graph Similarity
US9953191B2 (en) Event-based display information protection system
US10853473B2 (en) Enforcing trusted application settings for shared code libraries
US11711359B2 (en) Authentication based on a physical key
JP2018063695A (en) System and method for performing secure online banking transactions
US20210350001A1 (en) Machine learning-based method and system for detecting plaintext passwords
CN111382422B (en) System and method for changing passwords of account records under threat of illegally accessing user data
WO2023149816A1 (en) Method for generating a static identifier for mobile devices
RU2779521C1 (en) Method and device for forming static identifier for mobile devices under android os, method and system for detecting fraud transactions using static identifier
RU2796211C1 (en) METHOD AND DEVICE FOR FORMING STATIC IDENTIFIER FOR MOBILE DEVICES RUNNING ON iOS, METHOD AND SYSTEM FOR DETECTING FRAUD TRANSACTIONS USING STATIC IDENTIFIER
EA044663B1 (en) METHOD AND DEVICE FOR FORMING A STATIC IDENTIFIER FOR MOBILE DEVICES CONTROLLED BY ANDROID OS, METHOD AND SYSTEM FOR DETECTING FRAUDULENT TRANSACTIONS USING A STATIC IDENTIFIER
US9172719B2 (en) Intermediate trust state
RU2723679C1 (en) Method and system for dynamic authentication and user risk assessment
RU2816686C1 (en) Method and system for determining use of a trusted mobile application on a mobile device of a user under android os control
US20240121276A1 (en) Genterating and providing various degrees of digital information and account-based functionality based on a predicted network security threat
US20230214805A1 (en) Bank-based onboarding for merchant integration
US20240137376A1 (en) Detecting suspicious data access by a rogue cloud resource
Grace et al. Defending Multiple Attack Via Multiple Algorithms With Fault Tolerance
US20240031386A1 (en) Digital Security Violation System

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22925139

Country of ref document: EP

Kind code of ref document: A1